Windows실행 흔적최상
Amcache.hve
Windows 8부터 도입된 호환성 데이터베이스로, 실행된 모든 PE 파일의 SHA-1 해시, 전체 경로, 서명자, 최초 실행 시점을 기록합니다.
artifact_type: amcache
저장 위치
기본 파일시스템 경로 및 레지스트리 위치입니다. 라이브 대응 도구나 디스크 이미지 분석 도구로 수집합니다.
- $C:\Windows\AppCompat\Programs\Amcache.hve
- $C:\Windows\AppCompat\Programs\Amcache.hve.LOG1
포렌식 의의
이 아티팩트가 결정적 증거로 작용하는 주요 시나리오입니다.
- Proving a specific malware executable ran, even after deletion
- Identifying unknown binaries via SHA-1 for threat intel lookup
- Detecting living-off-the-land binaries in unusual paths
- First-execution timeline for ransomware investigation
MITRE ATT&CK 매핑
이 아티팩트가 탐지·입증에 기여하는 기법들. 공식 MITRE 페이지로 이동합니다.
파싱 도구
unJaena AI 및 기타 DFIR 도구가 이 아티팩트에서 증거를 추출하는 데 사용됩니다.
unJaena AI
AmcacheParser (Eric Zimmerman)
RegRipper
KAPE
관련 아티팩트
Windows
Shimcache (AppCompatCache)
애플리케이션 호환성 캐시로 최대 1024개의 실행 기록을 전체 경로와 마지막 수정 시각과 함께 저장합니다. 파일 삭제 후에도 흔적이 남습니다.
Windows
Prefetch 파일
Windows Prefetch는 실행 파일의 마지막 실행 시각 8회, 로드된 DLL 목록, 볼륨 정보까지 기록합니다. Windows 포렌식 타임라인의 핵심 자료입니다.
Windows
UserAssist (사용자 실행 기록)
HKCU에 저장되는 사용자별 프로그램 실행 기록. 경로가 ROT13 인코딩되어 있으며 포커스 횟수와 마지막 실행 시각을 포함해 대화형 실행을 증명합니다.
Windows
Shell Bags (셸백)
Windows 탐색기가 폴더 방문 시 뷰 설정을 UsrClass.dat에 저장합니다. 폴더가 삭제되었거나 연결 해제된 외장 드라이브의 경로라도 접근 흔적이 남습니다.
참고 자료
수작업으로 아티팩트를 뜯어보는 시대는 끝났습니다
unJaena AI는 디스크 이미지, 라이브 대응 산출물, 모바일 백업을 수집 후 이 페이지의 아티팩트와 200종 이상을 자동 상관 분석하여 수사관 수준의 타임라인을 생성합니다.
unJaena AI 체험 →